CSPM 경험 없음을 밝히고 관련 개념과 리스크 기반 접근을 공부한 내용 설명
클라우드 보안 형상 관리 도구를 실무에서 사용한 경험은 없습니다. 클라우드 보안에 관심을 갖고 관련 자료와 수업을 통해 어떤 역할을 하는지 공부했습니다.
공부하면서 이 도구가 클라우드 환경의 설정 오류와 보안 정책 위반을 자동으로 탐지해주는 역할이라는 걸 이해했습니다. 흥미로웠던 건 도구가 탐지한 항목이 많을수록 위험한 게 아니라, 그 중 실제로 중요한 리스크가 무엇인지를 판단하는 게 핵심이라는 점이었습니다. 리스크 기반 정책 설계에서는 자산의 중요도와 실제 공격 가능성을 함께 고려해서 우선순위를 정해야 한다는 내용이 인상적이었습니다. 모든 탐지 항목을 동등하게 처리하면 정작 중요한 것을 놓칠 수 있다는 논리였습니다.
실제 도구를 써보고 정책을 설계하는 경험은 입사 후에 쌓겠습니다.